PAM to nie tylko nagrywanie sesji
Śledzenie i rejestrowanie działań użytkowników uprzywilejowanych to standardowa funkcja rozwiązań typu Privileged Access Management. WALLIX Bastion oferuje dużo więcej możliwości, w tym mechanizmy zarządzania hasłami.
Rozwiązanie PAM, opracowane przez specjalistów WALLIX, odpowiada potrzebom przedsiębiorstw o skomplikowanej strukturze, dla których wyzwaniem staje się zachowanie zgodności z regulacjami. Dzięki niemu superadministratorzy określają reguły dostępu użytkowników uprzywilejowanych do wszystkich firmowych systemów. Mogą im przyznawać i odbierać prawo do korzystania z urządzeń, serwerów, baz danych oraz aplikacji, centralnie zarządzając polityką bezpieczeństwa obejmującą pełen zakres kontroli i posługując się kryteriami takimi jak: adresy IP, nazwy użytkowników, ramy czasowe czy protokoły.
WALLIX Bastion zarządza wszystkimi hasłami, przechowując je w bezpiecznym „sejfie” (komponent password vault). Dzięki temu użytkownicy uzyskują dostęp do usług wyłącznie za pośrednictwem rozwiązania PAM. Nie znają rzeczywistych haseł do kont, którymi administrują, ani danych uwierzytelniających do lokalnych urządzeń. Dodatkowo WALLIX ogranicza ryzyko przejęcia haseł, wymuszając ich rotację.
Password Manager w WALLIX Bastion
Moduł zarządzania hasłami ułatwia wprowadzanie najlepszych praktyk wykorzystania danych uwierzytelniających, narzucając warunki tworzenia kont. Stosujące się do tych reguł organizacje mogą być pewne, że ich najbardziej krytyczne systemy i dane nie będą dostępne dla osób niepowołanych.
Wykorzystując Password Managera, zespół ds. bezpieczeństwa może zastosować szereg środków ochrony. Należą do nich:
Silne hasła – wymuszanie stosowania trudnych do złamania haseł, złożonych z kombinacji małych i wielkich liter oraz znaków specjalnych. Co więcej, używanie zaawansowanego szyfrowania gwarantuje, że tworzone hasła są dobrze chronione.
Brak dostępu root – dzięki zaawansowanym metodom szyfrowania nawet uprzywilejowani użytkownicy nie mają dostępu do haseł root. W ten sposób ogranicza się ryzyko związane z zarządzaniem hasłami oraz możliwość wykorzystania skradzionych danych uwierzytelniających.
Automatyczna rotacja – zmuszanie użytkowników do regularnej zmiany haseł chroni firmy przed zagrożeniami takimi jak ryzyko niepowołanego użycia starszych bądź zapomnianych haseł do kont uprzywilejowanych.
Kontrola dostępu – obecnie pracownicy i wszyscy inni użytkownicy chcą dostępu do systemów z dowolnego miejsca – tam, gdzie aktualnie wykonują swoją pracę. Password Manager wymusza kontrolę dostępu, obsługując osoby działające w różnych miejscach i jednocześnie umożliwiając zespołom ds. bezpieczeństwa kontrolę nad tym, kto ma dostęp do jakich zasobów.
Nowe funkcje Password Managera
- rotacja kluczy SSH w ramach natywnego podejścia do zarządzania bezpieczeństwem
- scentralizowane zarządzanie tożsamością z funkcjami check-in/check-out,
- nowe pluginy w rotacji danych uwierzytelniających (MySQL, Juniper, Fortigate, Palo Alto, Cisco, Linux, Unix, Microsoft Windows),
- obsługa i generowanie certyfikatów SSH,
- moduł Application-to-Application Password Management (AAPM), dzięki któremu serwery automatycznie przechowują i pobierają hasła do aplikacji i skryptów z wykorzystaniem komponentu password vault.
AAPM: co to takiego i do czego służy
Są aplikacje, które do prawidłowego działania potrzebują połączeń z innymi programami. Podobnie jak użytkownicy, aby mieć dostęp do wymaganych usług, muszą się one uwierzytelniać na serwerach. Dobrze znanym przykładem jest np. zezwolenie systemowi ticketowemu, jak np. Redmine, na uwierzytelnianie się przy użyciu usługi katalogowej (AD). Gdy serwer Redmine
jest uwierzytelniony, może przy użyciu połączenia z AD autoryzować tożsamości użytkowników, którzy chcą mieć dostęp do jego usług. W rezultacie konta AD nie są duplikowane, a cały proces uwierzytelniania użytkowników pozostaje scentralizowany.
Często dane uwierzytelniające wykorzystywane przy połączeniu jednej aplikacji z drugą są przechowywane w prostym pliku konfiguracyjnym i zapisane jawnym tekstem. Moduł AAPM został stworzony w celu wyeliminowania tego rodzaju plików oraz domyślnych, na stałe zakodowanych haseł aplikacji. Zapewnia bezpieczny mechanizm, który umożliwia przeprowadzanie procesu autoryzacji pomiędzy aplikacjami. Od niedawna WALLIX Bastion oferuje w ramach modułu AAPM fingerprinting, służący do uwierzytelniania aplikacji niezależnych dostawców.
Więcej informacji:
Paweł Rybczyk, Business Developer CEE & Russia, WALLIX, prybczyk@wallix.com
Podobne artykuły
Senhasegura: bat na nieuczciwych usługodawców
System PAM, opracowany przez specjalistów Senhasegura, posiada wyróżniki, które pozwalają korzystać z niego w nietypowych zastosowaniach. Co istotne, można go zaoferować również mniejszym przedsiębiorstwom.
PAM alternatywą dla VPN
Zabezpieczanie zdalnej łączności z firmowymi zasobami za pośrednictwem tunelowania VPN przestało być obecnie wystarczającym rozwiązaniem. Najskuteczniejszą alternatywą w sytuacji, gdy nowoczesna architektura uniemożliwia korzystanie z klasycznego VPN-a, są bezagentowe systemy klasy Privileged Access Management (PAM).
Monitoring infrastruktury IT: być o krok przed hakerem
Różnorodność narzędzi do monitorowania infrastruktury IT może przyprawić o ból głowy. Dobrze zatem, że wciąż pojawiają się nowe koncepcje i rozwiązania, które dają nadzieję na opanowanie rosnącego chaosu.